ISC Bind-Unterstützung für GSS-TSIG DDNS-Updates?

7

Hat jemand jemals ISC Bind 9.5.0 oder höher mit Unterstützung für dynamische GSS-TSIG-DNS-Updates konfiguriert UND zum Laufen gebracht? Wenn ja, mit welcher Konfiguration wurde dies erreicht?

Ich fühle mich nahe daran, dass dies funktioniert. Ich sehe, dass das GSS-Guthaben während der TKEY-Aushandlung mit einem Active Directory-Domänencontroller und dem BIND-DNS-Server ohne offensichtlichen Fehler übergeben wird:

client 192.168.0.30 # 52314: gss cred abfragen: "DNS/dns1.example.com@EXAMPLE.COM", GSS_C_ACCEPT, 4294967256 gss-api quellenname (akzeptieren) ist DC1$@EXAMPLE.COM process_gsstkey (): dns_tsigerror_noerror client 192.168 .0.30 # 52314: senden

Wenn das Update gesendet wird, wird es jedoch abgelehnt:

Client 192.168.0.30 # 58330: Client aktualisieren 192.168.0.30 # 58330: Aktualisierungszone 'example.com/IN': Aktualisierung fehlgeschlagen: vom sicheren Update abgelehnt (VERWEIGERT) Client 192.168.0.30 # 58330: Senden

Hat jemand diese Arbeit in der realen Welt?

domain-name-system  active-directory  dyndns 
Netlinxman
quelle
Vielleicht hätte ich es formulieren sollen: "Ist es beliebt, ISC BIND so zu konfigurieren, dass es GSS-TSIG-Updates unterstützt?" - Ich glaube zu wissen, wie die Antwort auf der Anzahl der Ansichten, Antworten und Antworten basiert.
Netlinxman
Haben Sie jemals Teil 2 Ihres Leitfadens gemacht? Ihre Dokumentation zu diesem Problem hier ist sehr gut: netlinxinc.com/netlinx-blog/45-dns/…
Vinícius Ferrão

Antworten:

2

Mit einem vom Samba 4-Team bereitgestellten Patch gelang es mir tatsächlich, dynamische Updates zum Laufen zu bringen.

http://wiki.samba.org/index.php/Samba4/HOWTO#Step_10_Configure_kerberos_DNS_dynamic_updates

Es scheint Probleme mit der Windows-Version und der Methode zur Durchführung dynamischer Updates zu geben.

Wenn Sie versuchen, dasselbe außerhalb einer Samba4-Domain zu tun, ist es Ihre nächstbeste Wahl, das Howto hier zu befolgen:

http://freeipa.org/page/Dynamic_updates_with_GSS-TSIG

Es tut mir leid, wenn ich keine weiteren Informationen zu diesem Thema habe.

TheCompWiz
quelle
Gute und interessante Lektüre auf samba4 Link. Ich werde Bits davon ausprobieren, wie zum Beispiel die env-Variablen für die Keytab-Datei. Die Wiki-Seite des ersten Links ist etwas lückenhaft, da sie nicht die Version von BIND und / oder die erforderlichen Kerberos / GSSAPI-Bits enthält. Welche Version von BIND haben Sie beim Einrichten verwendet und auf welcher Betriebssystemplattform? RE: Die zweite URL, ich habe auch die FreeIPA-Site-Dokumente gelesen und fand sie etwas nützlich, um ein Beispiel für die Direktive "update-policy" zu erhalten. Immer noch ratlos. Und immer noch auf der Suche nach Beweisen. Danke für Ihre Antwort.
Netlinxman
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.